CronRat, zamanlanmış görevlerde gizlenen yeni bir Linux Truva Atı'dır. 31 Şubat yürütme tarihi elbette geçersizdir, ancak birçok güvenlik programı bunu algılamaz.
E-ticaret güvenlik uzmanı Sansec'teki araştırmacılar, etkilenen sunuculardaki çoğu güvenlik uygulamasından alışılmadık bir şekilde gizlenme yolu bulan yeni bir Linux Uzaktan Erişim Truva Atı (RAT) keşfettiler. Güvenlik araştırmacılarının tabiriyle CronRAT, yürütme tarihi 31 Şubat olan planlanmış bir görev kılığına girer. Bu tarih elbette geçersiz olduğundan ve mevcut olmadığından, kötü amaçlı yazılım çoğu antivirüs programının dikkatinden kaçmayı başarır.
CronRat – Uzaktan Erişim Truva Atı
Güvenlik araştırmacıları, CronRAT'ın nasıl çalıştığına daha yakından baktı. Sonuç, Trojan'ın Linux sunucularının cron aracını kullandığını gösteriyor. Ağ yöneticileri, daha sonra otomatik olarak gerçekleştirilen görevleri belirli zamanlarda planlamak için kullanabilir. Bu araç, Linux takvim alt sisteminde bulunur. CronRAT'ın yürütülmesi gereken gün mevcut olmadığından, etkinlik yönetici için takvimde de görünmez. Çoğu güvenlik programı da cron sistemini taramadığından, Trojan neredeyse görünmezdir. Sansec'te de Trojan'ın tespit edilebilmesi için öncelikle tespit motorunun yeniden yazılması gerekiyordu.
CronRat - Takvimde görünmez bir şekilde gizlenmiş
Sansec araştırmacıları, sunucuya girdikten sonra, kötü amaçlı yazılımın "Linux çekirdeğinin bir dosya üzerinden TCP iletişimine izin veren egzotik bir özelliğini" kullanarak bir komut ve kontrol sunucusuyla iletişim kurduğunu açıklıyor. İkinci adımda, Truva atı birden çok komut gönderip alır ve kötü niyetli bir dinamik kitaplığı alır. Bu alışverişin sonunda, CronRAT'ın arkasındaki saldırganlar, güvenliği ihlal edilmiş sistem üzerinde herhangi bir komutu çalıştırabilir.
CronRAT, sözde Magecart saldırılarının artan tehdidinin birçok örneğinden yalnızca biridir. Müşterilerin ödeme verilerini çalmak için çevrimiçi mağazalar manipüle edilmektedir. CronRAT aynı zamanda dünya çapında birçok mağazada keşfedilmiştir ve yasal çevrimiçi mağazaların güvenliğini bu şekilde tehlikeye atmaya çalışan tek kişi değildir. FBI, geçen yıl Magecart saldırılarıyla ilgili bir uyarı yayınladı ve bu uyarı, şimdilerde Amerikan Ulusal Siber Güvenlik Merkezi (NCSC) tarafından tekrarlanıyor. Kara Cuma öncesinde, oradaki güvenlik uzmanları sunucuları ve ödeme sayfaları son 4.151 ayda bilgisayar korsanları tarafından ele geçirilen 18 perakendeci bulmuştu.
Magecart saldırıları çevrimiçi mağazaları hedef alıyor
Kara Cuma bu yıl için artık sona ermiş olsa da, gelecekte Magecart saldırılarının tehdidi azalmayacak. Özellikle, artan Covid enfeksiyonu vaka sayısı ve yaklaşan Noel, çevrimiçi ticaretin önümüzdeki haftalarda ve aylarda ve bununla birlikte Magecart saldırıları için potansiyel hedeflerin sayısında büyümeye devam etmesini sağlamalıdır. Özellikle CronRAT gibi son derece uzmanlaşmış kötü amaçlı yazılımlara karşı koruma zordur çünkü burada teknik çözümler yeterli değildir. VirusTotal tarama hizmetinde, 12 antivirüs motoru Trojan'ı işleyemedi ve 58'i bunu bir tehdit olarak algılamadı. Bu nedenle, ne kadar önemsiz görünürlerse görünsünler düzensizlikler için tüm sistemin düzenli taramaları yapılmalıdır.
Daha fazlası 8com.de'de
8com hakkında 8com Siber Savunma Merkezi, 8com müşterilerinin dijital altyapılarını siber saldırılara karşı etkin bir şekilde koruyor. Güvenlik bilgileri ve olay yönetimi (SIEM), güvenlik açığı yönetimi ve profesyonel sızma testleri içerir. Ayrıca, ortak standartlara göre belgelendirme de dahil olmak üzere bir Bilgi Güvenliği Yönetim Sisteminin (BGYS) geliştirilmesini ve entegrasyonunu sunar. Farkındalık önlemleri, güvenlik eğitimi ve olay müdahale yönetimi teklifi tamamlar.